Se usó la API de Cloud Translation para traducir esta página.

Investigar una dirección IP

Compatible con:

Google SecOps SIEM

Google Security Operations te permite investigar direcciones IP específicas para determinar si alguna está presente en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus activos. La vista de dirección IP de Google SecOps se deriva de la misma información y datos de seguridad que se reenvían desde tu empresa y que puedes examinar con la vista de activos. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como EDR, firewall, proxy web, etcétera.

En la vista de Recurso, comienzas la investigación desde tu empresa y miras hacia afuera. En la vista Dirección IP, comienzas tu investigación desde fuera de tu empresa y miras hacia adentro.

Para acceder a la vista de dirección IP en Google SecOps, completa los siguientes pasos:

En la página de destino de Google SecOps, ingresa la dirección IP en la barra de búsqueda. Haz clic en Buscar.
Haz clic en la dirección IP en los resultados para abrir la vista Dirección IP.

Contexto de la dirección IP

Vista de la dirección IP

1. Prevalencia

Google SecOps proporciona una representación gráfica de la prevalencia histórica de una dirección IP determinada. Este gráfico se puede usar para determinar si se accedió a la dirección IP desde la empresa anteriormente y puede proporcionar una indicación de si la dirección IP está asociada con una campaña en particular que se segmenta para la empresa.

Por lo general, las direcciones IP menos frecuentes, es decir, aquellas a las que se conectaron menos activos, pueden representar una mayor amenaza para tu empresa. A diferencia del gráfico de Prevalence en la vista de recursos, el gráfico de esta figura muestra un acceso de alta prevalencia en la parte superior y un acceso de baja prevalencia en la parte inferior.

Cuando mantienes el puntero sobre una barra del gráfico de Prevalence, se enumeran los recursos que accedieron a la dirección IP. Debido a la alta prevalencia de los servidores DNS, no se incluyen en la lista. Si todos los recursos son servidores DNS, no se mostrará ningún recurso.

2. Control deslizante para el gráfico de prevalencia

Ajusta el control deslizante para enfocarte en los eventos vinculados a un período específico, como se muestra en el gráfico de prevalencia.

3 estadísticas de direcciones IP

Las estadísticas de direcciones IP te brindan más contexto sobre la dirección IP que se está investigando. Puedes usarlos para determinar si una dirección IP es benigna o maliciosa. También te permiten investigar más a fondo un indicador para determinar si hay una vulneración más amplia.

Lista de reputación de inteligencia de ET: Se verifica con la lista de reputación de inteligencia de Emerging Threats (ET) de ProofPoint. Enumera las amenazas conocidas vinculadas a direcciones IP y dominios específicos.
ESET Threat Intelligence: Se realizan verificaciones con el servicio de inteligencia de amenazas de ESET.

4. Contexto de VT

Haz clic en VT Context para ver la información de VirusTotal disponible para esta dirección IP.

Consideraciones

La vista de direcciones IP tiene las siguientes limitaciones:

Solo puedes filtrar los eventos que se muestran en esta vista.
En esta vista, solo se completan los tipos de eventos de DNS, EDR y proxy web. La información de la primera y la última vez que se vio que se completa en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de UDM y en los registros sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.